FIN7 активно эксплуатирует малвертайзинг в последних вредоносных кампаниях

Компания eSentire сообщила о новой волне атак хакерской группы FIN7, которая использовала маскировку под известные бренды для распространения вредоносных программ. Целью атак стали пользователи, перешедшие по фальшивым рекламам в Google на имитирующие легитимные сайты веб-страницы.

Согласно отчёту, группировка FIN7, известная также как Carbon Spider и Sangria Tempest, активная с 2013 года, первоначально атаковала торговые точки для кражи данных о платежах, а позже начала осуществлять атаки с использованием вымогательского ПО. Группа использовала ряд собственных вредоносных программ, включая BIRDWATCH и Carbanak.

В последние месяцы FIN7 начала применять технику «малвертайзинг», что привело к распространению MSIX-установщиков через фальшивую рекламу. Эти установщики активируют скрипты PowerShell, что в конечном итоге приводит к запуску удалённого доступа и управления заражённых хостом через NetSupport RAT.

Microsoft отметила, что использование MSIX как канала распространения вредоносного ПО облегчает обход защитных механизмов, таких как Microsoft Defender SmartScreen, что подтолкнуло компанию к деактивации этого протокольного обработчика по умолчанию.

В апреле 2024 года, по данным eSentire, жертвам на поддельных сайтах предлагалось скачать фиктивное расширение браузера, что является ещё одним способом сбора информации о системе и последующей загрузки вредоносного ПО.

Эксперты eSentire также обнаружили использование этого трояна для дальнейшей инсталляции других вредоносов, включая DICELOADER. Эти находки подтверждаются отчётами Malwarebytes, которые утверждают, что целью атак являются корпоративные пользователи, обманутые маскировкой под высокопрофильные бренды.

Параллельно с новостями о малвертайзинговой кампании FIN7, была выявлена и другая атака, направленная на пользователей Windows и Microsoft Office с целью распространения RAT и майнеров криптовалют через кряки популярных программ.

Компания Symantec сообщает, что установленное таким образом вредоносное ПО регистрирует команды в планировщике задач, что позволяет поддерживать его активность даже после удаления. Это создаёт дополнительные риски для корпоративной безопасности.